Kadena ng pagtitiwala. CC BY-SA 4.0
Ang SSL traffic inspection (SSL/TLS decryption, SSL o DPI analysis) ay nagiging mas mainit na paksa ng talakayan sa corporate sector. Ang ideya ng pag-decrypt ng trapiko ay tila sumasalungat sa mismong konsepto ng cryptography. Gayunpaman, ang katotohanan ay isang katotohanan: parami nang parami ang mga kumpanya na gumagamit ng mga teknolohiya ng DPI, na ipinapaliwanag ito sa pamamagitan ng pangangailangang suriin ang nilalaman para sa malware, mga pagtagas ng data, atbp.
Buweno, kung tatanggapin natin ang katotohanang kailangang ipatupad ang naturang teknolohiya, dapat nating isaalang-alang ang mga paraan para gawin ito sa pinakaligtas at pinakamainam na paraan na posible. Hindi bababa sa huwag umasa sa mga certificate na iyon, halimbawa, na ibinibigay sa iyo ng supplier ng DPI system.
May isang aspeto ng pagpapatupad na hindi alam ng lahat. Sa katunayan, maraming tao ang talagang nagulat kapag narinig nila ang tungkol dito. Isa itong pribadong certification authority (CA). Bumubuo ito ng mga sertipiko upang i-decrypt at muling i-encrypt ang trapiko.
Sa halip na umasa sa mga self-signed na certificate o certificate mula sa mga DPI device, maaari kang gumamit ng dedikadong CA mula sa isang third-party na awtoridad sa certificate gaya ng GlobalSign. Ngunit una, gawin natin ang isang maliit na pangkalahatang-ideya ng problema mismo.
Ano ang SSL inspeksyon at bakit ito ginagamit?
Parami nang parami ang mga pampublikong website na lumilipat sa HTTPS. Halimbawa, ayon sa , sa simula ng Setyembre 2019, ang bahagi ng naka-encrypt na trapiko sa Russia ay umabot sa 83%.
Sa kasamaang palad, ang pag-encrypt ng trapiko ay lalong ginagamit ng mga umaatake, lalo na dahil ang Let's Encrypt ay namamahagi ng libu-libong libreng SSL certificate sa isang automated na paraan. Kaya, ginagamit ang HTTPS sa lahat ng dako - at ang padlock sa address bar ng browser ay hindi na nagsisilbing isang maaasahang tagapagpahiwatig ng seguridad.
Ang mga tagagawa ng mga solusyon sa DPI ay nagpo-promote ng kanilang mga produkto mula sa mga posisyong ito. Naka-embed ang mga ito sa pagitan ng mga end user (i.e. ang iyong mga empleyado na nagba-browse sa web) at ng Internet, na sinasala ang nakakahamak na trapiko. Mayroong isang bilang ng mga naturang produkto sa merkado ngayon, ngunit ang mga proseso ay mahalagang pareho. Ang trapiko ng HTTPS ay dumadaan sa isang inspeksyon na device kung saan ito ay nade-decrypt at sinusuri kung may malware.
Kapag kumpleto na ang pag-verify, gagawa ang device ng bagong SSL session kasama ang end client para i-decrypt at muling i-encrypt ang content.
Paano gumagana ang proseso ng decryption/re-encryption
Upang ang SSL inspection appliance ay makapag-decrypt at muling mag-encrypt ng mga packet bago ipadala ang mga ito sa mga end user, dapat itong makapag-isyu ng mga SSL certificate nang mabilis. Nangangahulugan ito na dapat itong may naka-install na CA certificate.
Mahalaga para sa kumpanya (o sinuman-sa-gitna) na ang mga SSL certificate na ito ay pinagkakatiwalaan ng mga browser (ibig sabihin, huwag mag-trigger ng mga nakakatakot na mensahe ng babala tulad ng nasa ibaba). Samakatuwid ang CA chain (o hierarchy) ay dapat nasa trust store ng browser. Dahil ang mga certificate na ito ay hindi ibinibigay mula sa pampublikong pinagkakatiwalaang mga awtoridad sa certificate, dapat mong manual na ipamahagi ang CA hierarchy sa lahat ng end client.
Mensahe ng babala para sa self-signed certificate sa Chrome. Pinagmulan:
На компьютерах с Windows можно задействовать Active Directory и групповые политики, но для мобильных устройств процедура сложнее.
Ang sitwasyon ay nagiging mas kumplikado kung kailangan mong suportahan ang iba pang mga root certificate sa isang corporate environment, halimbawa, mula sa Microsoft, o batay sa OpenSSL. Dagdag pa ang proteksyon at pamamahala ng mga pribadong key upang ang alinman sa mga susi ay hindi mag-expire nang hindi inaasahan.
Pinakamahusay na opsyon: pribado, nakalaang root certificate mula sa isang third party na CA
Kung hindi kaakit-akit ang pamamahala ng maraming ugat o self-signed certificate, may isa pang opsyon: umasa sa isang third-party na CA. Sa kasong ito, ang mga sertipiko ay ibinibigay mula sa pribado isang CA na naka-link sa isang chain of trust sa isang nakatuon, pribadong root CA na partikular na nilikha para sa kumpanya.
Pinasimpleng arkitektura para sa nakalaang mga sertipiko ng ugat ng kliyente
Ang setup na ito ay nag-aalis ng ilan sa mga problemang nabanggit kanina: hindi bababa sa binabawasan nito ang bilang ng mga ugat na kailangang pamahalaan. Dito maaari kang gumamit ng isang pribadong awtoridad sa ugat para sa lahat ng panloob na pangangailangan ng PKI, na may anumang bilang ng mga intermediate na CA. Halimbawa, ang diagram sa itaas ay nagpapakita ng isang multi-level na hierarchy kung saan ang isa sa mga intermediate na CA ay ginagamit para sa pag-verify/decryption ng SSL at ang isa ay ginagamit para sa mga panloob na computer (mga laptop, server, desktop, atbp.).
Sa disenyong ito, hindi na kailangang mag-host ng CA sa lahat ng kliyente dahil ang pinakamataas na antas ng CA ay hino-host ng GlobalSign, na lumulutas sa mga isyu sa proteksyon ng pribadong key at expiration.
Ang isa pang bentahe ng diskarteng ito ay ang kakayahang bawiin ang awtoridad sa inspeksyon ng SSL sa anumang kadahilanan. Sa halip, ang isang bago ay nilikha lamang, na nakatali sa iyong orihinal na pribadong ugat, at magagamit mo ito kaagad.
Sa kabila ng lahat ng kontrobersya, ang mga negosyo ay lalong nagpapatupad ng SSL traffic inspection bilang bahagi ng kanilang panloob o pribadong imprastraktura ng PKI. Kasama sa iba pang gamit para sa pribadong PKI ang pag-isyu ng mga certificate para sa pagpapatunay ng device o user, SSL para sa mga internal na server, at iba't ibang configuration na hindi pinapayagan sa mga pampublikong pinagkakatiwalaang certificate ayon sa hinihingi ng CA/Browser Forum.
Ang mga browser ay lumalaban
Dapat tandaan na sinusubukan ng mga developer ng browser na kontrahin ang trend na ito at protektahan ang mga end user mula sa MiTM. Halimbawa, ilang araw ang nakalipas Mozilla Paganahin ang DoH (DNS-over-HTTPS) protocol bilang default sa isa sa mga susunod na bersyon ng browser sa Firefox. Itinatago ng DoH protocol ang mga DNS query mula sa DPI system, na nagpapahirap sa SSL inspeksyon.
Tungkol sa mga katulad na plano noong Setyembre 10, 2019 Google para sa Chrome browser.
Ang mga rehistradong user lamang ang maaaring lumahok sa survey. , pakiusap
Sa palagay mo, may karapatan ba ang isang kumpanya na suriin ang trapiko ng SSL ng mga empleyado nito?
Oo, sa kanilang pagsang-ayon
Hindi, ang paghingi ng naturang pahintulot ay labag sa batas at/o hindi etikal
122 na user ang bumoto. 15 user ang umiwas.
Pinagmulan: www.habr.com
